mercoledì 12 giugno 2013

Ancora phishing con il supporto del medesimo dominio .EU visto ieri (12 giugno)

Nuovamente attivo il dominio .EU creato da poco



e che dopo l'hosting del phishing Vodafone visto ieri , supporta il php



 linkato da form clone allegato in mail e relativo a banca FINECO.


Questa la mail


che presenta il solito source codificato in base64


dove notiamo che il logo Fineco e' quello presente su un sito IT


mentre gli headers mail ripropongono un IP su range UK


come le precedenti mails associabili alla 'campagna' di phishing che sfrutta domini .eu creati allo scopo e che da qualche giorno risulta molto attiva interessando diverse aziende IT (Vodafone, PosteIT, Lottomatica, UniCredit ecc.....)

Il form allegato in mail presenta codice php che viene hostato sul dominio gia' usato ieri nel caso Vodafone (non e' stato creato un sotto-dominio come succedeva ieri considerato anche che si tratta di semplice file PHP)


mentre come particolarita' si nota, sul form allegato in mail, che l'immagine della carta di credito che spiega la posizione sulla stessa del codice di sicurezza, e' linkata da reale sito CartaSI.


E' cosa abbastanza normale che i loghi o le immagini utilizzate nel layout del clone, siano quelle presenti su altri siti, di solito quelli legittimi dell'azienda presa di mira, consentendo ai phishers anche di ridurre le dimensioni delle mails o dei form allegati.

Una volta confermati i dati immessi si viene rediretti sul legittimo sito Fineco


In definitiva stiamo assistendo ad un uso reiterato del medesimo dominio .EU che evidentemente deve essere utilizzato il piu' possibile prima di ritornare offline dopo pochi giorni, come succede di solito in questi casi di phishing.

Edgar

Nessun commento: